Iscrivi un esistente Account AWS - AWS Control Tower
Cosa succede durante la registrazione dell'accountRegistrazione di account esistenti con VPCsAWS Config CLIComandi di esempio per lo stato delle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Iscrivi un esistente Account AWS

È possibile estendere la governance della AWS Control Tower a un individuo, esistente Account AWS quando lo si iscrive in un'unità organizzativa (OU) già governata da AWS Control Tower. Esistono account idonei non registrati OUs che fanno parte della stessa AWS Organizations organizzazione dell'unità organizzativa AWS Control Tower.

Nota

Non puoi registrare un account esistente come account di controllo o di archiviazione dei log tranne durante la configurazione iniziale della landing zone.

Imposta prima un accesso affidabile

Prima di poter registrare un utente esistente Account AWS in AWS Control Tower, devi autorizzare AWS Control Tower a gestire o governare l'account. In particolare, AWS Control Tower richiede l'autorizzazione per stabilire un accesso affidabile tra AWS CloudFormation e AWS Organizations per conto dell'utente, in modo da AWS CloudFormation poter distribuire automaticamente lo stack agli account dell'organizzazione selezionata. Con questo accesso affidabile, il AWSControlTowerExecution ruolo svolge le attività necessarie per gestire ogni account. Ecco perché è necessario aggiungere questo ruolo a ciascun account prima di registrarlo.

Quando l'accesso affidabile è abilitato, AWS CloudFormation puoi creare, aggiornare o eliminare pile su più account e Regioni AWS con un'unica operazione. AWSControl Tower si affida a questa funzionalità di fiducia in modo da poter applicare ruoli e autorizzazioni agli account esistenti prima di trasferirli in un'unità organizzativa registrata e quindi sottoporli alla governance.

Per saperne di più sull'accesso affidabile e AWS CloudFormation StackSets, vedi AWS CloudFormationStackSets e AWS Organizations.

Cosa succede durante la registrazione dell'account

Durante il processo di registrazione, AWS Control Tower esegue le seguenti azioni:

  • Baseline dell'account, che include la distribuzione di questi set di stack:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Ti consigliamo di rivedere i modelli di questi set di stack e assicurarti che non siano in conflitto con le policy esistenti.

  • Identifica l'account tramite o. AWS IAM Identity Center AWS Organizations

  • Inserisce l'account nell'unità organizzativa specificata. Assicurati di applicare tutto ciò SCPs che viene applicato nell'unità organizzativa corrente, in modo che il tuo livello di sicurezza rimanga coerente.

  • Applica i controlli obbligatori all'account mediante quelli SCPs che si applicano all'unità organizzativa selezionata nel suo complesso.

  • Lo abilita AWS Config e lo configura per registrare tutte le risorse dell'account.

  • Aggiunge le AWS Config regole che applicano i controlli investigativi AWS Control Tower all'account.

Account e percorsi a livello di organizzazione CloudTrail

Tutti gli account dei membri di un'unità organizzativa sono regolati dalla cronologia dell' AWS CloudTrail unità organizzativa, indipendentemente dal fatto che siano registrati o meno:

  • Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso della nuova organizzazione. Se hai già implementato un CloudTrail trail, potresti vedere addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.

  • Se si trasferisce un account in un'unità organizzativa registrata, ad esempio tramite la AWS Organizations console, e non si procede alla registrazione dell'account in Control TowerAWS, è possibile rimuovere eventuali percorsi a livello di account rimanenti relativi all'account. Se hai già installato un trail, dovrai sostenere addebiti doppi. CloudTrail CloudTrail

Se aggiorni la landing zone e scegli di disattivare i trail a livello di organizzazione, o se la tua landing zone è precedente alla versione 3.0, i CloudTrail percorsi a livello di organizzazione non si applicano ai tuoi account.

Registrazione di account esistenti con VPCs

AWSControl Tower si comporta VPCs in modo diverso quando si effettua il provisioning di un nuovo account in Account Factory rispetto a quando si registra un account esistente.

  • Quando crei un nuovo account, AWS Control Tower rimuove automaticamente l' AWS impostazione predefinita VPC e ne crea uno nuovo VPC per quell'account.

  • Quando si registra un account esistente, AWS Control Tower non ne crea uno nuovo VPC per quell'account.

  • Quando si registra un account esistente, AWS Control Tower non rimuove alcun account esistente VPC o AWS predefinito VPC associato all'account.

Suggerimento

Puoi modificare il comportamento predefinito per i nuovi account configurando Account Factory, in modo che non ne venga impostato uno predefinito VPC per gli account della tua organizzazione in AWS Control Tower. Per ulteriori informazioni, consulta Crea un account in AWS Control Tower senza un VPC.

AWS Config CLIComandi di esempio per lo stato delle risorse

Di seguito sono riportati alcuni AWS Config CLI comandi di esempio che è possibile utilizzare per determinare lo stato del registratore di configurazione e del canale di distribuzione.

Comandi di visualizzazione:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La risposta normale è qualcosa del genere "name": "default"

Elimina comandi:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Il YAML modello seguente può aiutarti a creare il ruolo richiesto in un account, in modo che possa essere registrato a livello di codice.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess